Sicherheitslücken in IOS, IOS XE und ASA: Warnung von CISA

Warnung der CISA Zwei Zero-Days bei Cisco erlauben Manipulation von HTTP(S)-Anfragen

30.09.2025 Von Melanie Staudacher 3 min Lesedauer

Anbieter zum Thema

Neben einer Sicherheitslücke in IOS und IOS XE, die DoS und RCE ermöglicht, warnt die US-Behörde CISA vor zwei aktiv ausgenutzten Zero-Days in der Adaptive Security Appliance.

Bei den Zero-Day-Sicherheitslücken im VPN-Webserver der Secure Firewall ASA sowie der Secure Firewall Threat Defense von Cisco handelt es sich um unzureichende Validierung von Benutzereingaben in HTTP(S)-Anfragen.(Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert) — Bei den Zero-Day-Sicherheitslücken im VPN-Webserver der Secure Firewall ASA sowie der Secure Firewall Threat Defense von Cisco handelt es sich um unzureichende Validierung von Benutzereingaben in HTTP(S)-Anfragen.
(Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)

Um Cisco häufen sich derzeit die Medienberichte zu Sicherheitslücken. Zum einen wurde eine Sicherheitslücke in IOS und IOS XE entdeckt, die Denial of Service (DoS) und Remote Code Execution (RCE) ermöglicht. Zum anderen warnt die Cybersecurity and Infrastructure Security Agency (CISA) vor Angriffen über zwei Zero-Day-Schwachstellen in der Adaptive Security Appliance (ASA).

In Cisco Software für die IOS XE Wireless Controller mit aktivierter Out-of-Band-AP-Image-Download-Funktion klafft eine Sicherheitslücke, die drastische Folgen haben kann. (Bild: Pixabay)

Zero-Day-Sicherheitslücken in Adaptive Security Appliance

Am 25. September hat die CISA eine Sicherheitswarnung für möglicherweise gefährdete Cisco-Geräte veröffentlicht. Denn die Adaptive Security Appliance des Herstellers wird über zwei Zero-Day-Schwachstellen in den Webservices aktiv von Cyberkriminellen angegriffen. Die ASA wird meist als Firewall eingesetzt und bietet auch VPN-Funktionen, Intrustion Prevention sowie Content- und URL-Filtering.

🚨 Cyber threat actors are exploiting newly identified zero-day vulnerabilities in Cisco Adaptive Security Appliances via web services, posing significant risk. Federal agencies must act immediately and follow the guidance in Emergency Directive 25-03. 🔗 https://t.co/4DMWopRPtr pic.twitter.com/HR1dO05Br5
— CISA Cyber (@CISACyber) September 25, 2025

Hinter den statischen Anmeldedaten, die Cisco im Code des Unified Communication Managers verbaut hat, vermuten viele eine beabsichtigte Backdoor. (Bild: Dall-E / KI-generiert)

Die CISA nennt diese Sicherheitslücken:

CVE-2025-20333 (CVSS-Score 9.9): Diese Schwachstelle betrifft den VPN-Webserver der Secure Firewall ASA sowie der Secure Firewall Threat Defense (FTD) von Cisco. Grund für die Sicherheitslücke ist eine unzureichende Validierung von Benutzereingaben in HTTP(S)-Anfragen. Hat ein Angreifer gültige VPN-Benutzeranmeldedaten, könnte dieser die Schwachstelle ausnutzen, indem er manipulierte HTTP- oder HTTPS-Anfragen an ein betroffenes Gerät sendet. Ist der Angriff erfolgreich können Cyberangreifer beliebigen Code auf den betroffenen Geräten ausführen.

CVE-2025-20362 (CVSS-Score 6.5): Auch diese Schwachstelle betrifft den VPN-Webserver der beiden Cisco-Lösungen Secure Firewall ASA und Secure FTD. Auch diese Sicherheitslücke ist auf eine fehlerhafte Validierung von HTTP(S)-Anfragen zurückzuführen. Auch hier sind die Folgen beträchtlich: Bei einem erfolgreichen Exploit kann ein nicht authentifizierter, entfernter Angreifer auf eingeschränkte URL-Endpunkte zugreifen, für die eigentlich eine Authentifizierung notwendig ist.

Auf der Cisco Live zeigte der Netzwerkspezialist, wie man die KI-fähigen Rechenzentren ausstatten kann. (Bild: Cisco)

Erneut Schwachstellen in Cisco IOS und IOS XE

Bereits einen Tag zuvor, am 24. September, hatte Cisco eine weitere Sicherheitslücke geschlossen: CVE-2025-20352 (CVSS-Score 7.7). Diese betrifft das Simple Network Management Protocol (SNMP) Subsystem von IOS und seinem Nachfolger IOS XE. Dabei handelt es sich um das Betriebssystem des Herstellers. Schon mit geringen Berechtigungen können Cyberangreifer bei erfolgreicher Ausnutzung von CVE-2025-20352 einen DoS-Angriff auf betroffenen Geräten durchführen. Dafür benötigt der Angreifer den schreibgeschützten Community-String von SNMPv2c oder einer früheren Version oder gültige SNMPv3-Benutzeranmeldeinformationen. Außerdem könnte ein authentifizierter Remote-Angreifer mit hohen Berechtigungen als Root-Benutzer Code auf einem betroffenen Gerät ausführen. Dafür würde ein Akteur ebenfalls den schreibgeschützten Community-String von SNMPv1 oder v2c oder gültige SNMPv3-Benutzeranmeldeinformationen benötigen, zudem auch Administrator- oder Privileg-15-Anmeldedaten auf dem betroffenen Gerät.

Schon im Mai musste Cisco eine schwerwiegende, kritische Sicherheitslücke in IOS XE schließen.

Tenable hat eine Übersicht erstellt, in der zu sehen ist, welche Software in welcher Version anfällig für eine dieser Schwachstellen ist, und wie sie gepatcht wird:

CVE	Betroffenes Produkt	Betroffene Versionen	Gefixte Version
CVE-2025-20333	Cisco ASA Software	9.16, 9.17, 9.18, 9.19, 9.20, 9.22	9.16.4.85, 9.17.1.45, 9.18.4.47, 9.19.1.37, 9.20.3.7, 9.22.1.3
CVE-2025-20333	Cisco FTD Software	7.0, 7.2, 7.4, 7.6	7.0.8.1, 7.2.9, 7.4.2.4, 7.6.1
CVE-2025-20363	Cisco ASA Software	9.16, 9.18, 9.19, 9.20, 9.22, 9.23	9.16.4.84, 9.18.4.57, 9.19.1.42, 9.20.3.16, 9.22.2, 9.23.1.3
CVE-2025-20363	Cisco FTD Software	7.0, 7.2, 7.4, 7.6, 7.7	7.0.8, 7.2.10, 7.4.2.3, 7.6.1, 7.7.10
CVE-2025-20362	Cisco ASA Software	9.16, 9.18, 9.20, 9.22, 9.23	9.16.4.85, 9.18.4.67, 9.20.4.10, 9.22.2.14, 9.23.1.19
CVE-2025-20362	Cisco FTD Software	7.0, 7.2, 7.4, 7.6, 7.7	7.0.8.1, 7.2.10.2, 7.4.2.4, 7.6.2.1, 7.7.10.1

Für Cyberkriminelle läuft es gut: Auch sie profitieren von KI und konnten im vergangenen Jahr mehr Schaden anrichten. (Bild: Who is Danny - stock.adobe.com)

(ID:50573087)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.